漏洞总结:666ghj MiroFish 0.1.2 任意 SQLite 数据库读取 漏洞概述 在 666ghj MiroFish v0.1.2 中, 和 接口存在路径遍历漏洞。攻击者可以通过构造恶意的 查询参数,直接拼接进 SQLite 数据库文件路径,从而读取服务器上的任意 SQLite 数据库文件。 影响范围 软件名称: 666ghj MiroFish 受影响版本: v0.1.2 漏洞类型: 路径遍历 (Path Traversal) / 任意文件读取 修复方案 目前页面未提供具体的修复代码,但根据漏洞原理,修复方案应包含: 1. 对用户输入的 参数进行严格的白名单校验或过滤,禁止包含 等路径遍历字符。 2. 使用安全的 API 或库来构建数据库路径,避免直接字符串拼接。 POC / 利用代码 页面未提供具体的 POC 代码块,但提供了漏洞描述和复现逻辑: (注:实际利用时, 参数会被拼接为 ,攻击者可尝试读取如 等文件)